Dell電腦內建支援軟體含有遠端攻擊漏洞 文/陳曉莉 | 2019-05-02發表 Dell在4月下旬修補了兩個與SupportAssist軟體有關的遠端攻擊漏洞，它們分別可用來執 行跨站偽造請求（Cross-site Request Forgery，CSRF）攻擊或遠端程式攻擊，值得注意 的是，SupportAssist被預裝在基於Windows作業系統的絕大多數Dell裝置上，包括電腦與 平板電腦。 在Dell裝置上內建的SupportAssist定位為主動及預測支援軟體，它既能協助使用者下載 必要的驅動程式，也能主動檢查系統上的軟體及硬體狀態，偵測到問題時即會將狀態資訊 傳回Dell以進行故障排除，Dell也會聯繫用戶予以協助。 此次Dell修補了SupportAssist中的CVE-2019-3718及CVE-2019-3719漏洞，前者是因不適 當的原始認證所造成，未經身分認證的遠端駭客可能會利用該漏洞，展開跨站偽造請求攻 擊。 CVE-2019-3719則是屬於遠端程式攻擊漏洞，允許未經身分認證且共享網路存取層的駭客 ，誘導使用者連至惡意網站以下載及執行任何程式。 發現CVE-2019-3719的資安研究人員Bill Demirkapi表示，他是在購買了15吋的Dell G3筆 電之後，因把傳統硬碟換成SDD，重新安裝了Windows，在要下載驅動程式時，才發現Dell 要求他安裝SupportAssist。他覺得可自動幫人安裝驅動程式的軟體固然方便，但也有安 全風險，決定一探究竟，才發現此一遠端程式攻擊漏洞。 Demirkapi是在去年10月提報此一漏洞，只是Dell直至今年4月才修補。Demirkapi也發表 了概念性驗證攻擊程式，展示如何讓含有漏洞的電腦執行他所指定的程式。 這兩個漏洞都被列為高度（High）風險漏洞，Dell則呼籲用戶應儘速將SupportAssist升 級至SupportAssist 3.2.0.90或之後的版本。 https://www.ithome.com.tw/news/130381 大濕:光Dell這個品牌就值1萬 -- 作者 ttmb (耶? ) 看板 Gossiping 標題 [新聞] 台積電市值超越Intel 謝金河：成全球最大 時間 Tue Mar 21 13:47:22 2017 ─────────────────────────────────────── -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1556997521.A.409.html